網(wǎng)絡(luò)安全基礎(chǔ)大全--防火墻技術(shù)

1、基本術(shù)語

1）實(shí)施組織的安全政策。

2）創(chuàng)建鎖定點(diǎn)。

3）互聯(lián)網(wǎng)活動記錄。

4）限制網(wǎng)絡(luò)暴露。

2、什么是防火墻？

防火墻是用戶網(wǎng)絡(luò)和外部世界之間的屏障，防止不可預(yù)測的潛在損害進(jìn)入用戶網(wǎng)絡(luò)；防火墻在開放和封閉接口上構(gòu)建保護(hù)層。內(nèi)部區(qū)域的業(yè)務(wù)根據(jù)協(xié)議在批準(zhǔn)下開展，外部訪問內(nèi)部網(wǎng)絡(luò)受到防火墻的限制。

網(wǎng)絡(luò)安全基礎(chǔ)大全--防火墻功能

1、過濾進(jìn)入網(wǎng)絡(luò)的數(shù)據(jù)。

2、管理網(wǎng)絡(luò)內(nèi)外的訪問行為。

3、防止某些行為。

4、通過防火墻記錄信息內(nèi)容和活動。

5、網(wǎng)絡(luò)攻擊檢測和警報(bào)。

網(wǎng)絡(luò)安全基礎(chǔ)大全--防火墻分類

一、訪問控制機(jī)制

制定訪問控制機(jī)制

1、路由器->ACL訪問控制列表。

2、評估包過濾防火墻->IP是否可以通過5次。

3、根據(jù)狀態(tài)監(jiān)控防火墻->應(yīng)用程序評估發(fā)生的可能性。

4、根據(jù)應(yīng)用程序代理防火墻->應(yīng)用程序評估是否可行。

5、基于多檢測機(jī)制防火墻->多個IP包評估整個應(yīng)用程序的可用性。

6、多功能集成網(wǎng)關(guān)（下一代防火墻）->內(nèi)置多重保護(hù)，多層過濾后是否進(jìn)行評估。

二、數(shù)據(jù)包篩選器防火墻

1、組過濾技術(shù)根據(jù)系統(tǒng)定義的過濾邏輯（即訪問控制列表（ACL））在網(wǎng)絡(luò)層上選擇組。

2、包過濾防火墻分為靜態(tài)包過濾防火墻和動態(tài)包過濾防火墻。

3、數(shù)據(jù)包檢查器不檢查數(shù)據(jù)包的所有內(nèi)容，只檢查報(bào)頭（IP和TCP報(bào)頭）。

優(yōu)點(diǎn)

◆ 邏輯簡單性

◆ 增強(qiáng)透明度

◆ 對網(wǎng)絡(luò)性能影響較小

◆ 低成本和便宜的設(shè)備

缺點(diǎn)

◆ 無法篩選和檢查數(shù)據(jù)包內(nèi)容

◆ 可以在傳輸層或網(wǎng)絡(luò)層檢測數(shù)據(jù)，但不能在更高級別檢測數(shù)據(jù)。例如，傳入的HTTP請求可能被禁止并通過，但無法確定該請求是非法的還是合法的。

◆ 很難防止欺詐攻擊。尤其是IP欺詐攻擊。（網(wǎng)絡(luò)外允許流量。數(shù)據(jù)包過濾防火墻只能檢測數(shù)據(jù)包的源IP地址，無法確定它是否是實(shí)際的源地址。）

◆ 釋放所有可能的端口（尤其是大于1024的端口）以提高攻擊概率

◆ 在復(fù)雜網(wǎng)絡(luò)中難以管理

◆ 一般來說，包過濾技術(shù)是防火墻技術(shù)中最低的。

三、防火墻檢查狀態(tài)

狀態(tài)檢測防火墻由動態(tài)包過濾防火墻演變而來。她在交通班工作。使用其他狀態(tài)表跟蹤活動的TCP會話。連接狀態(tài)表可以根據(jù)連接狀態(tài)信息動態(tài)配置和維護(hù)，并用于后續(xù)消息處理。

狀態(tài)識別技術(shù)的典型控制點(diǎn)包括：

1、確保將包設(shè)置為正在使用的流量的一部分。

2、如果數(shù)據(jù)包與連接表中的條目不匹配，防火墻將檢查數(shù)據(jù)包是否與配置的規(guī)則集匹配。

3、當(dāng)檢測到時，防火墻將根據(jù)路由傳遞數(shù)據(jù)包，并在連接表中創(chuàng)建或更新會話的連接元素。

4、防火墻通常檢測TCP數(shù)據(jù)包中設(shè)置的FIN位，并使用會話超時設(shè)置來確定何時從連接表中刪除連接元素。

優(yōu)點(diǎn)

◆ 更安全的

◆ 效率

◆ 寬范圍

缺點(diǎn)

◆ 無法控制應(yīng)用程序級數(shù)據(jù)

◆ 無法生成高級日志

◆ 復(fù)雜結(jié)構(gòu)

四、應(yīng)用程序代理防火墻

1、應(yīng)用程序代理也稱為應(yīng)用程序網(wǎng)關(guān)。

2、應(yīng)用程序?qū)拥暮诵氖谴磉M(jìn)程。

3、每個應(yīng)用程序都遵循一個代理進(jìn)程來監(jiān)視和控制應(yīng)用程序級流量。

4、自適應(yīng)代理防火墻：每次啟動連接通信時，都必須在應(yīng)用程序級別進(jìn)行測試。通過安全規(guī)則，自適應(yīng)代理可以自動選擇要使用包過濾或代理的包。

優(yōu)點(diǎn)

◆ 它可以檢查應(yīng)用層、傳輸層和網(wǎng)絡(luò)層的協(xié)議屬性，并具有很強(qiáng)的分組感知能力。

◆ 代理完全控制會話，提供詳細(xì)的日志記錄和安全審計(jì)功能。

◆ 隱藏內(nèi)部網(wǎng)絡(luò)的IP地址并保護(hù)內(nèi)部主機(jī)不受外部主機(jī)的影響。

◆ 統(tǒng)一身份驗(yàn)證機(jī)制。

缺點(diǎn)

◆ 最大的缺點(diǎn)是用戶必須在任何改變其行為或訪問代理服務(wù)的系統(tǒng)上安裝特殊軟件。

◆ 很難分析和反思。每個應(yīng)用服務(wù)必須設(shè)計(jì)代理安全控制軟件模塊。更新應(yīng)用程序時，必須更新一半的代理服務(wù)。

◆ 影響用戶的網(wǎng)絡(luò)速度（命令解釋）。

◆ 無法阻止SYN攻擊。